1inch frontend é atingido por um grande ataque à cadeia de suprimentos.

O agregador de exchanges descentralizadas 1inch (CRYPTO:1INCH) foi comprometido em um ataque generalizado à cadeia de suprimentos, que explorou vulnerabilidades na popular biblioteca Lottie Player.

A violação envolveu a injeção de código malicioso na biblioteca front-end, afetando múltiplos aplicativos descentralizados (dApps) e sites não relacionados a cripto que utilizam o Lottie Player.

O incidente de segurança impactou especificamente as versões 2.0.5 e superiores do Lottie Player, onde atacantes embutiram scripts não autorizados nos arquivos JSON dos sites afetados.

Este código malicioso permite transações não autorizadas, representando riscos significativos para os fundos e dados sensíveis dos usuários.

A empresa de segurança Blockaid relatou: “Sites legítimos (não relacionados a cripto também) estão agora entregando conteúdo nocivo, incluindo código de evasão anti-debug.”

Recomenda-se fortemente que os usuários evitem conectar carteiras ou interagir com sites comprometidos até que as falhas de segurança sejam totalmente mitigadas.

Embora nenhuma carteira comprometida tenha sido confirmada até agora, a situação continua precária.

De acordo com a Blockaid, o ataque originou-se de um pacote npm comprometido, que foi disseminado via o servidor de conteúdo do Lottie Player.

Relatos sugerem que os atacantes conseguiram infiltrar a biblioteca e distribuir versões alteradas, visando plataformas de cripto como 1inch e TEN Finance.

No entanto, a extensão total da violação permanece incerta, sendo provável que o número de sites afetados seja maior.

A equipe do Lottie Player identificou a causa raiz e está ativamente removendo as versões comprometidas.

Eles urgem que os usuários garantam que os sites estejam rodando a versão 2.0.4 ou a mais recente 2.0.8 para garantir a segurança.

No momento do relatório, o preço do 1inch era de $0,2583.